Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recursos creados en las cuentas compartidas
En esta sección se muestran los recursos que AWS Control Tower crea en las cuentas compartidas al configurar la zona de aterrizaje.
Para obtener información sobre los recursos de las cuentas de miembro, consulte Consideraciones sobre los recursos del generador de cuentas.
Recursos de cuentas de administración
Cuando configuras tu landing zone, se crean los siguientes AWS recursos en tu cuenta de administración.
| Servicio de AWS | Tipo de recurso | Nombre del recurso |
|---|---|---|
| AWS Organizations | Cuentas | audit log archive |
| AWS Organizations | OU | Security Sandbox |
| AWS Organizations | Políticas de control de servicios | aws-guardrails-* |
| AWS CloudFormation | Pilas | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(en la versión 2.6 y posteriores; no se implementó en la 4.0 y versiones posteriores) |
| AWS CloudFormation | StackSets |
AWSControlTowerBP-BASELINE-CLOUDTRAIL (no implementado en la versión 3.0 y posteriores) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET(Implementado en la versión 4.0 y versiones posteriores) |
| AWS Service Catalog | Producto | Generador de cuentas de AWS Control Tower |
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(No se implementó en la versión 4.0 y versiones posteriores) |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Registros | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | Roles | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy |
| AWS IAM Identity Center | Grupos de directorios | AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins |
| AWS IAM Identity Center | Conjuntos de permisos | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess |
nota
No CloudFormation StackSet BP_BASELINE_CLOUDTRAIL está desplegado en las versiones 3.0 o posteriores de landing zone. Sin embargo, sigue existiendo en versiones anteriores de la zona de aterrizaje, hasta que la actualice.
A partir de junio de 2025, AWS Control Tower implementará los controles de detección como AWS Config reglas vinculadas a servicios directamente en las cuentas inscritas, en lugar de hacerlo a través de ellas. CloudFormation StackSets Las instancias de pila StackSets AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED y las correspondientes a ellas ya no se implementan. Para obtener más información, consulte Support for detective controls desplegados como reglas de AWS Config vinculadas a servicios.
Recursos de cuentas de archivo de registro
Cuando configuras tu landing zone, se crean los siguientes AWS recursos en tu cuenta de archivo de registros.
| Servicio de AWS | Tipo de recurso | Nombre del recurso |
|---|---|---|
| AWS CloudFormation | Pilas |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- |
| AWS Config | Reglas de AWS Config | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT |
| AWS CloudTrail | Registros de seguimiento | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Reglas del evento | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Roles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Temas | aws-controltower-SecurityNotifications |
| AWS Lambda | Aplicaciones | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-* |
| AWS Lambda | Funciones | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-logs-* aws-controltower-s3-access-logs-* |
Recursos de cuentas de auditoría
Cuando configuras tu landing zone, se crean los siguientes AWS recursos en tu cuenta de auditoría.
| Servicio de AWS | Tipo de recurso | Nombre del recurso |
|---|---|---|
| AWS CloudFormation | Pilas |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-* StackSet-AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET-(Implementado en la versión 4.0 y versiones posteriores) |
| AWS Config | Agregador | aws-controltower-GuardrailsComplianceAggregator(No se implementó en la versión 4.0 y versiones posteriores) |
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(Implementado en la versión 4.0 y versiones posteriores) |
| AWS Config | Reglas de AWS Config | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Reglas del evento | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Roles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Temas | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications |
| AWS Lambda | Funciones | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-config-logs-*(Implementado en la versión 4.0 y versiones posteriores) aws-controltower-config-access-logs-*(Implementado en 4.0 y versiones posteriores) |
